1777601

Oracle plant häufigere Java-Updates

04.06.2013 | 10:07 Uhr |

Oracles Java-Runtime-Environment gilt als eine der wesentlichen Sicherheitslücken auf Computersystemen.

Der bekannte Flashback-Trojaner, der im vergangenen Jahr zu Spitzenzeiten über 700.000 Macs infiziert und ein riesiges Botnetz aufgebaut hatte, machte sich seinerzeit eine Sicherheitslücke in Oracles Java-Plugin für Browser zunutze genauso wie Pintsized.A . Um künftig besser und vor allem schneller auf Sicherheitslücken in Java reagieren zu können, hat sich der Java-Entwickler Oracle für Veränderungen des Update-Rythmus entschieden – das gab der Konzern in seinem Firmenblog bekannt .

Beginnend im Oktober 2013 werde man bei Oracle Java-Sicherheitsupdates gemäß dem "Oracle Critical Patch Update"-Plan parallel mit allen anderen Oracle-Anwendungen aktualisieren. Für Java SE heißt das konkret, dass künftig vier planmäßige Sicherheitsaktualisierungen pro Jahr erscheinen sollen, also ein Update mehr, als bisher. Daneben soll es weiterhin im Rahmen des "Java Security Alert"-Programms schnelle und zuverlässige Fehlerbehebungen für so genannte Zero-Day-Sicherheitslücken geben – diese kritischen Schwachstellen werden also weiter separat behandelt und bei Bedarf gefixt.

In der Vergangenheit hatte Oracle bereits einige Veränderungen an den Voreinstellungen der Java-Browserplugins vorgenommen, um beispielsweise zu verhindern, dass unsignierte Java-Applets ohne User-Zustimmung ausgeführt werden können. Ebenfalls wichtig: Eine bereits integrierte, aus Performance-Gründen jedoch per Default deaktivierte Lösung zur sicheren Ausführung von Java-Applets, soll mit einer der nächsten Java-Versionen optimiert werden werden. Java kann nämlich bereits jetzt die Gültigkeit von Zertifikaten vor dem Ausführen von Plugins überprüfen: Dafür werden entweder  "Certificate Revocation Lists" (CRLs) oder das "Online Certificate Status Protocol" (OCSP) genutzt.

Außerdem plant Oracle künftig die Client- und Server-Versionen von Java stärker zu trennen. Der Grund: Zwar haben die Sicherheitslücken der Vergangenheit – laut Oracle – die Server-Version von Java nicht betroffen, die Lücken hätten aber in der Wahrnehmung der von Business-Kunden dem Ansehen von Java geschadet. Um diese Separation voranzutreiben habe man einige Plugins aus der Server-Variante entfernt, um die Angriffsfläche zu verkleinern. Vor einigen Wochen hatte Oracle bereits angekündigt, dass die 8. Version von Java SE sich auf das Jahr 2014 verschieben werde.

0 Kommentare zu diesem Artikel
1777601